Halloware勒索软件暗网仅售40美元，是真的“物美价廉”还是一场“骗局”？

暗网市场的勒索软件

当前，利用勒索软件进行网络攻击并获利，已成为不容忽视的安全威胁。根据最新的安全报告显示，2017年勒索软件在暗网上获得规模性增长，其相关产品销售额高达623万美元，是去年25万美元的25倍。

有资料显示，有些暗网卖家仅靠贩卖勒索软件一年就可进账10万美元，可谓“一本万利”。2016年不法黑客通过勒索软件总共获得了10亿美元的收入，而FBI预测，从勒索软件的现在的销售量上来看，2017年的获利将远远超过2016年的。

Halloware勒索软件以40美元售价在暗网出售

近日，据外媒Bleeping Computer收集的证据显示，一位化名为“Luc1F3R”的恶意软件开发者于本周四（11月30日）开始以40美元的低廉价格，贩卖一款名为“Halloware”的新型勒索软件。

目前，该恶意软件开发者正在通过专门的暗网门户、论坛、2个托管在公共互联网上的网站以及YouTube宣传和／或销售其开发的勒索软件。

【YouTube宣传页面】

据悉，这些网站为这款仅售40美元的“Halloware”勒索软件提供了一份终身许可，如此低廉的价格告诉我们三件事：该勒索软件要不就是真的这么物美价廉，要不就完全是一个骗局，或者该勒索软件实际上根本没有其开发者宣传的那般复杂有效。

跟踪Luc1F3R的网站

一开始，Bleeping Computer也认为如此低廉的价格只是一个骗局，但是由于销售该勒索软件的网站出现了一些操作失误，使得我们成功追踪到了其开发者Luc1F3R托管Halloware相关文件的网页，其中包括用勒索软件感染受害者的武器化文件。

由于hmavpncreck.exe文件中具有与“Luc1F3R在Halloware的广告中提供的NoDistribute扫描结果”相同的SHA256哈希值，证实我们找到了正确的文件。

此外，该网站还托管了一个名为“ran.py”的文件，该文件看起来是“Halloware”勒索软件的源代码。当文件受到保护时，Bleeping Computer设法提取其源代码，并最终由其他安全研究人员来创建解密程序，以防有人购买这一勒索软件并用它来感染真正的用户。

虽然Halloware看起来只是一个简单的勒索软件，但实际上却十分奏效。我们用Luc1F3R的网站上托管的几个武器化文件进行实验后发现，该勒索软件能够十分高效地加密测试机器上的所有文件。

分析发现，该勒索软件使用硬编码的AES-256密钥加密文件，并将“（Lucifer）”字符串加到加密文件中。例如，一旦加密，image.png就会变成（Lucifer）image.png。

而一旦加密过程结束，“Halloware”勒索软件就会弹出一个窗口，显示一个令人毛骨悚然的小丑图像与一则赎金消息，指示受害者到一个暗网支付门户网站交付赎金，并将用户的桌面壁纸更改为类似的消息。与其他勒索软件不同的是，“Halloware”勒索软件至始至终都不会在受感染的电脑上放置带有赎金记录的文本文件。

买家需要做的所有事情就是更换两个图像，并添加上自己定制的支付网站的URL。

尽管如此，由于该勒索软件使用了硬编码的AES密钥，并且不会将任何信息存储在远程服务器上，所以可以说，Luc1F3R没有机会通过“Halloware”勒索软件赚到任何钱。因此，这个骗子就应该关闭交易，因为没有一个理智的或有经验的恶意软件经销商会为此花费1美元，更不用说是40美元。

追踪Luc1F3R

根据我们追踪到的证据显示，Luc1F3R只是一个技能平庸的攻击者，而且似乎在网络犯罪的世界里刚刚迈出了第一步。 他在YouTube上上传的所有黑客教程都是非常基本的技术或者宣传一些不太复杂的恶意软件。

其中一些视频还链接到了他的GitHub帐户，根据其GitHub帐户信息显示，Luc1F3R目前正在托管其他四种恶意软件：基于批处理的勒索软件、Windows键盘记录器、Linux键盘记录器以及大容量欺骗电子邮件发件器。

此外，Luc1F3R还自称是一名来自印度东北部的17岁大学生，看他使用了这么差的OpSec，如果这是他的真实位置的话，也就没有什么好惊讶的了。

IOC数据

哈希值：

007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c
d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c
c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09

加密文件类型：

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd

总结

目前，勒索软件正逐渐发展成一个基于云平台并且专注于勒索获利或销毁的黑市经济，当然助推勒索软件经济成长的因素除了匿名网络的流行，还同比特币的兴起不无关系。为了防止中招，不论是个人还是企业用户还是快快做好自己的文件备份吧。